我有一个应用程序,我在网络和移动设备上使用Devise。在Web版本中,它可以正常使用以下行:
protect_from_forgery with: :exception
但是,我正在阅读一篇关于使用gem devise_token_auth进行API令牌认证的文章。它声明Rails通过提出异常来预防CSRF。当通过API访问时,这将使您的令牌身份验证失败。要解决此问题,请更改为以下内容:
class ApplicationController < ActionController::Base
protect_from_forgery with: :null_session
# ...
end
这会降低网络版的安全性吗?在使用网络版和移动版时,我应该使用后一种技术吗?